Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
Как настроить Secure DNS и Private DNS | Блог Касперского
Что такое Secure DNS и Private DNS, как их настроить, в чем отличия.
Настройка интернет-подключения на компьютере или смартфоне в большинстве случаев автоматизирована, и разбираться в ней не надо. Но есть одна деталь, которая стоит внимания, — выбор DNS и его режима работы. Если уделить этому немного времени, можно защититься от кибератак, шпионажа со стороны провайдера, нежелательного для детей контента и даже рекламы. Что же такое, например, Private DNS из настроек в Android и как им воспользоваться?
DNS и его недостатки
Расшифровка DNS — Domain Name Service, сервис (служба) доменных имен. Он нужен, чтобы переводить удобные для нашего восприятия адреса в Интернете (доменные имена, например, kaspersky.ru) в цифровые IP-адреса, которыми оперируют компьютеры в Сети (185.85.15.34). Практически каждый запрос в Интернете начинается с того, что компьютер обращается к серверу DNS за переводом введенного имени сайта в его IP-адрес. Почти всегда для этого используется DNS-сервер вашего интернет-провайдера, причем запрос к нему не зашифрован и не подписан. Из-за этой незащищенности возникает много побочных эффектов.
- Провайдер всегда знает, какие сайты вы посещаете, и может использовать это для показа вам таргетированной рекламы.
- Провайдеру легко подменить IP-адрес в своем ответе, показав совсем не тот сайт, который вы хотели увидеть. Вы наверняка сталкивались с этим, подключаясь к бесплатному Wi-Fi в отеле, кафе или аэропорту, — первым делом вместо любого запрошенного вами сайта вылезает страница с авторизацией или рекламой.
- Ту же технологию могут применять и злоумышленники, способные контролировать сеть Wi-Fi, к которой вы подключились. Они подсовывают жертвам фальшивые сайты, на которых распространяются вредоносные программы или воруется информация о банковских картах.
Правда, подмена адресов в DNS-ответах может использоваться и во благо — например, в сервисах родительского контроля, выдающих сайт-заглушку при попытке посетить «нежелательные» сайты. Однако эта технология недостаточно точна и блокирует сайты целиком — например, весь youtube.com, а не конкретные «плохие» страницы. Поэтому в Kaspersky Safe Kids она не используется.
Пользоваться DNS-сервером своего провайдера вовсе не обязательно. Существуют общедоступные DNS-серверы с хорошей репутацией, например от Cloudflare (1.1.1.1) или Google (8.8.8.8), их можно указать в настройках Интернета и избавиться от части проблем, описанных выше.
Есть и DNS-серверы с дополнительными функциями — например, блокирующие доступ к рекламным серверам: они убирают рекламу не только в браузере, но и в других приложениях. Для этого достаточно в настройках Wi-Fi компьютера или смартфона указать адрес соответствующего «фильтрующего» DNS-сервера.
К сожалению, простая замена адреса DNS на 1.1.1.1 или 8.8.8.8 не решает проблем конфиденциальности: провайдер или злоумышленник, контролирующий сеть, может «подсматривать» в DNS-запросы, вмешиваться в них или блокировать доступ к сторонним DNS.
Private DNS и Secure DNS
Крупные корпорации или энтузиасты могут запустить собственный DNS-сервер и применять на нем любые правила обработки запросов. Собственно, Private DNS в строгом смысле — это не сервер повышенной конфиденциальности, а просто частный, непубличный сервер. На практике Private DNS нередко запускают на базе защищенных DNS-протоколов. Настройка Private DNS в Android 9 и выше должна бы называться Secure DNS, чтобы точнее передавать ее суть.
Безопасный DNS (Secure DNS) — это несколько конкурирующих протоколов, отличающихся от обычного DNS наличием шифрования. Это DNS over HTTPS (DoH), DNS over TLS (DoT) и DNSCrypt. Они отличаются протоколами связи и портами, через которые проходят DNS-запросы. О том, какой из них лучше, а какой хуже, до сих пор идут споры. Правда, порой провайдеры блокируют доступ к сторонним DNS, и в этом случае наивысшие шансы обойти блокировку имеет протокол DoH, поскольку его сложнее отфильтровать. Но вникать в тонкости Secure DNS не обязательно, главное, чтобы ваш смартфон, компьютер или браузер поддерживал хотя бы один из указанных протоколов и был DNS-сервер, который можно использовать с этими протоколами.
Дефицита бесплатных безопасных серверов нет — крупные операторы интернет-инфраструктуры (Cloudflare, Google и другие) поддерживают общедоступные DNS (1.1.1.1, 8.8.8.8), к которым можно подключиться как по незащищенному DNS, так и по DoH/DoT. Поэтому ваша задача сводится к тому, чтобы включить этот безопасный доступ.
А если уже есть VPN?
Безопасный DNS и VPN — взаимодополняющие технологии. Даже если вы включили VPN, запросы имен сайтов могут идти по незашифрованному DNS-каналу, тогда все вышеописанные риски остаются. Некоторые коммерческие VPN-сервисы включают в стандартный профиль подключения свой зашифрованный DNS или предлагают одновременное включение своего VPN и стороннего безопасного DNS через приложение. Это не общепринятая практика, поэтому стоит перечитать информацию своего VPN-провайдера или задать вопрос техподдержке. Если безопасный DNS не предлагается, его можно включить дополнительно к VPN по инструкции ниже.
Включаем безопасный DNS
Проще всего включить безопасный DNS в Android (версия 9 и выше): достаточно зайти в приложение «Настройки», выбрать дополнительные настройки соединения (More connections или Advanced) и найти там подраздел Private DNS. В нем надо указать желаемый сервер — и настройка закончена. Маленький загадочный нюанс: Android не принимает в данном разделе числовые адреса, поэтому потребуется уточнить у провайдера доменное имя нужного DNS-сервера (например, 1dot1dot1dot1.cloudflare-dns.com).
В яблочных устройствах поддержка DoH/DoT внедрена с версий iOS 14 и macOS 11. Но штатной настройки для включения этих протоколов нет, поэтому вам понадобится одна из множества сторонних утилит из App Store, способная активировать предпочитаемый вами безопасный сервер. Найти их можно по запросу «Secure DNS». Опытные пользователи также могут установить нужные конфигурационные профили вручную или создать их самостоятельно.
В Windows 10 поддержка DoH есть начиная с версии 19628, включить ее можно по инструкции с сайта Microsoft.
Браузеры Chrome и Firefox способны делать DNS-запросы по зашифрованному каналу вне зависимости от поддержки на уровне ОС. В ряде стран эта опция включена по умолчанию, но лучше проверить через настройки браузера.
Немаловажный нюанс для пользователей Kaspersky: чтобы убедиться, что ваша защита правильно настроена, сначала активируйте защищенный DNS в настройках роутера, ОС или браузера. Затем проверьте, что у вас включена нужная настройка Kaspersky: Настройки → Настройки сети → Обработка трафика (Settings → Network Setting → Traffic Processing).
Здесь же можно указать конкретные DoH-серверы, которыми вы планируете пользоваться.
Источник: Лаборатория Касперского
15.02.2023